ファイアウォールで保護
さまざまなファイアウォール管理ツールがRHEL7システムに統合されています。firewalld(LinuxシステムのDynamic Firewall Manager)サービスは、デフォルトのファイアウォール構成管理ツールです。CLI(コマンドラインインターフェイス)とGUI(グラフィカルユーザーインターフェイス)の2つの管理方法。
従来のファイアウォール管理構成ツールと比較して、firewalldは動的更新テクノロジーをサポートし、ゾーンの概念を追加します。簡単に言えば、firewalldが事前に複数のファイアウォールポリシーセット(ポリシーテンプレート)を用意しているということです。ユーザーは、さまざまな本番シナリオに応じて適切なポリシーセットを選択し、ファイアウォールポリシー間の高速切り替えを実現できます。たとえば、オフィス、コーヒーショップ、自宅で毎日使用するラップトップがあります。常識によれば、これら3つの安全性は、自宅、会社のオフィス、コーヒーショップの降順で並べられています。現在、このラップトップに次のファイアウォールポリシールールを指定する必要があります。自宅のすべてのサービスへのアクセスを許可する、オフィスのファイル共有サービスへのアクセスのみを許可する、コーヒーショップでのインターネットブラウジングのみを許可する。以前は手動でファイアウォールポリシールールを頻繁に設定する必要がありましたが、今ではエリアセットをプリセットするだけで、マウスを1回クリックするだけで自動的に切り替えることができるため、ファイアウォールポリシーの適用効率が大幅に向上します。Firewalld(デフォルトはpublic)の共通ゾーン名と対応するポリシールールを表に示します。
ターミナル管理ツール
コマンドラインターミナルは非常に効率的な作業方法です。firewall-cmdは、firewalldファイアウォール構成管理ツールのCLI(コマンドラインインターフェイス)バージョンです。RHEL 7システムは、このコマンドを含む一部のコマンドのパラメーター補完をサポートしているため、そのパラメーターは通常「長い形式」で提供されます。つまり、Tabキーを使用してコマンドまたはファイル名を自動的に入力するだけでなく、Tabキーを使用して表に示されている長い形式のパラメーターを入力することもできます。
Firewalldを使用して構成されたファイアウォールポリシーには、次の2つのモードがあります。
运行时(Runtime)模式:默认的firewall防火墙策略模式,又称为当前生效模式,策略会随着系统的重启会失效。
永久(Permanent)模式:在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,配置的防火墙策略就可以永久生效。但是,使用永久生效模式设置的策略只有在系统重启之后才能自动生效。如果想让永久模式下配置的策略立即生效,需要手动执行firewall-cmd --reload命令。
一般的なファイアウォール構成
firewall-cmd --get-default-zone #查看firewalld服务当前所使用的区域(默认应该是public)
firewall-cmd --get-zone-of-interface=eno16777728 #查询eno16777728网卡当前在firewalld服务中的区域(默认也应该是public)
firewall-cmd --permanent --zone=external --change-interface=eno16777728 #把firewalld服务中eno16777728网卡的默认区域修改为external,并在系统重启后永久生效。
firewall-cmd --get-zone-of-interface=eno16777728 #查看eno16777728网卡在当前的区域(应该仍为public)
firewall-cmd --permanent --get-zone-of-interface=eno16777728 #查看eno16777728网卡在永久模式下的区域(应该为external)
firewall-cmd --set-default-zone=public #把firewalld服务的当前默认区域设置为public
firewall-cmd --get-default-zone #查看firewall当前默认区域
firewall-cmd --panic-on #启动firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用)
firewall-cmd --panic-off #关闭firewall防火墙服务的应急状况模式
firewall-cmd --zone=public --query-service=ssh #查询public区域当前是否允许SSH服务的流量(查到为yes)
firewall-cmd --zone=public --query-service=https #查询public区域当前是否允许HTTPS服务的流量(查到为no)
firewall-cmd --zone=public --add-service=https #设置public区域当前允许请求HTTPS服务的流量通过
firewall-cmd --permanent --zone=public --add-service=https #设置piblic区域允许请求HTTPS服务的流量通过,永久生效
firewall-cmd --reload #让firewall服务永久模式下的策略设置立即生效
firewall-cmd --permanent --zone=public --remove-service=http #设置public区域禁止HTTP服务的流量通过,永久生效
firewall-cmd --reload
firewall-cmd --zone=public --add-port=8080-8081/tcp #设置public区域当前访问8080-8081端口的流量策略设置为允许
firewall-cmd --zone=public --list-ports #查看public区域当前允许通过的端口
トラフィック転送コマンドの形式:
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
実験的操作:
#firewalldファイアウォールサービスの緊急モードを開始します。このモードは注意して使用してください。
[root@lizhiqiang Desktop]# firewall-cmd --get-default-zone
public
[root@lizhiqiang Desktop]# firewall-cmd --get-zone-of-interface=eno16777736
public
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=external --change-interface=eno16777736
success
[root@lizhiqiang Desktop]# firewall-cmd --get-zone-of-interface=eno16777736
public
[root@lizhiqiang Desktop]# firewall-cmd --set-default-zone=drop
success
[root@lizhiqiang Desktop]# firewall-cmd --get-default-zone drop
[root@lizhiqiang Desktop]# firewall-cmd --panic-on
success
[root@lizhiqiang Desktop]# firewall-cmd --panic-off
success
#关闭firewall防火墙服务的应急状况
[root@lizhiqiang Desktop]# firewall-cmd --panic-off
success
httpおよびhttpsプロトコルをサポートしているかどうかを確認し、httpおよびhttpsプロトコルのサポートを追加します
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=ssh
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=http
no
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
no
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --add-service=http
success
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=http
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --add-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
yes
[root@lizhiqiang Desktop]# firewall-cmd --zone=public --query-service=https
yes
スタートアップアイテムに追加し、httpsサービスサポートを削除します
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
no
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --reload
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
yes
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --remove-service=https
success
[root@lizhiqiang Desktop]# firewall-cmd --reload
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --query-service=https
no
パブリックエリアのポート8080-8081にアクセスするための現在のトラフィックポリシーを設定して、
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp
success
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --list-port
8080-8081/tcp
トラフィック転送コマンドを設定する
[root@lizhiqiang Desktop]# firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.11.17
success
[root@lizhiqiang Desktop]# firewall-cmd --reload
success
最高のルール、優先度の実行でファイアウォールを設定します
[root@lizhiqiang Desktop]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.11.0/24" service name="ssh" reject"
success
[root@lizhiqiang Desktop]# firewall-cmd --reload
success